Xakep #242. Фаззинг

• Содержание выпуска


• Подписка на «Хакер»

В начале текущей недели инженеры Mozilla выпустили обновленные версии Firefox 67.0.3 и Firefox ESR 60.7.1, устранив в браузере уязвимость нулевого дня CVE-2019-11707, которая уже находилась под атаками. Сообщалось, что обнаруженный баг получил статус критического, так как позволял выполнить произвольный код на машинах с уязвимыми версиями Firefox. Уязвимость была обнаружена специалистом Google Project Zero Сэмюелем Гроссом и командой Coinbase Security.

Как выяснилось теперь, фактически уязвимостей было сразу две, их объединили и использовали для атак на сотрудников Coinbase, а не на простых пользователей.

Специалист по безопасности Coinbase Филип Мартин (Philip Martin) рассказал в Twitter, что в понедельник инженеры Coinbase обнаружили и блокировали попытку атаки на своих сотрудников. Неизвестные злоумышленники прибегли к вышеупомянутой 0-day уязвимости в Firefox в сочетании с еще одной проблемой нулевого дня, позволявшей осуществить побег из песочницы.

Интересно, что специалист Google Project Zero Сэмюель Гросс исходно обнаружил уязвимость CVE-2019-11707 еще 15 апреля 2019 года, о чем и поспешил уведомить разработчиков через Bugzilla. Как Гросс объяснил теперь, эта уязвимость позволяла удаленному атакующему выполнить произвольный код в браузере жертвы, но для дальнейшего развития атаки требовалась еще одна уязвимость, позволяющая сбежать из песочницы и осуществить запуск кода на уровне ОС.

В этом свете не совсем ясно, каким образом атаковавшие Coinbase злоумышленники узнали об этой RCE-уязвимости и успели воспользоваться ей до выхода патчей. Здесь возможно несколько сценариев:

• атакующие обнаружили ту же самую уязвимость самостоятельно;


• атакующие получили доступ к багтрекеру Mozilla;


• атакующие взломали учетную запись сотрудника Mozilla и получили доступ к нужному разделу Bugzilla;


• атакующие взломали сам портал Bugzilla (подобное уже случалось ранее).

Специалисты Coinbase пишут, что в настоящее время работают совместно с различными организациями, и общими усилиями им уже удалось детально изучить малварь, а также использованную для осуществления атак инфраструктуру. Далее эксперты планируют вывести инфраструктуру злоумышленников из строя, и намерены попытаться выйти на них самих.

В компании подчеркнули, что замеченные атаки не были направлены против пользователей Coinbase, однако эксперты опасаются, что другие организации, так или иначе связанные с криптовалютами, тоже могут стать мишенями данной преступной группы.

Так, по словам Филипа Мартина, злоумышленники могут распространять фишинговые письма, заманивая своих жертв на специальные веб-страницы. Если жертва использует Firefox, такая страница будет способна похитить пароли из браузера и другие данные. Подчеркивается, что атаки нацелены как на пользователей Mac, так и Windows, и для каждой ОС используется разная малварь.

Изучив индикаторы компрометации, обнародованные Мартином, Ник Карр (Nick Carr) из компании FireEye заметил, что они соответствуют активности, которую эксперты FireEye наблюдали в период между 2017 и 2019 годами. Тогда атаки тоже были направлены на финансовые учреждения и биржи криптовалют.

В свою очередь эксперт по безопасности macOS Патрик Вордл (Patrick Wardle) уже опубликовал детальный анализ вредоноса, предназначенного для Mac и распространявшегося с помощью проблемы CVE-2019-11707. Вордл получил образец по почте от человека, который утверждал, что его полностью обновленный Mac подвергся атаке через уязвимость в Firefox. Причем пострадавший писал, что до недавнего времени он был связан с обменом криптовалюты.

Исследователь отмечает, что изученная им малварь весьма похожа на старый вредонос OSX.Netwire (Wirenet), предназначенный для хищения паролей из Linux и OS X. Это может означать, что за созданием вредоносов стоит один и тот же человек или группа злоумышленников. Хуже того, Вордл обнаружил, что новой малвари удается обмануть защиту XProtect и Gatekeeper.

Еще один анализ был опубликован независимым ИБ-экспертом Виталием Кремезом (Vitali Kremez), который проанализировал обе полезные нагрузки (для macOS и Windows), распространявшиеся с помощью эксплоита для Firefox. Исследователь обнаружил в свежих атаках некоторые параллели с эксплуатацией уязвимости нулевого дня WinRAR, что была найдена и исправлена весной текущего года.

Разработчики Mozilla уже устранили второй 0-day баг в своем браузере, присвоив ему идентификатор  CVE-2019-11708 и выпустив обновление Firefox 67.0.4. Также патч для проблемы CVE-2019-11707 уже получил Tor Browser, обновившийся до версии 8.5.2. Ожидается, что Tor для Android тоже обновят в ближайшие дни.

Теги: CSS, Coinbase Firefox атаки уязвимость 0-day